Sql通用防注入系统3.1β版的跨站漏洞

 
Author：lake2
 
今天帮一个朋友补SQL注射漏洞，但是那个破程序漏洞页面太多，一个一个参数过滤好麻烦，于是我就请出SQL通用防注入程序咯，这里特别感谢作者neeao呵呵，一下就搞定了，帮我省了不少事。
使用中我突然旧病复发，嘿嘿，又想找最新的3.0β版本的漏洞。
我们知道3.0版有个跨站漏洞，就是由于提交的参数的值没有被HTML编码，不过β版已经补上了。
仔细分析，还有哪些地方是用户输入的而且被显示出来呢，呵呵，除了提交的参数的值还有提交的参数啊。呵呵，这个他可没过滤。好，测试一下先，http://localhost/sql-test/Neeao_sqlin.asp?<script>alert("test by lake2")</script>=and，然后登陆后台，yeah，弹出对话框，跨站成功！
跨站的时候要注意字段大小，自己去看看数据库结构吧，呵呵，Enjoy It ！